Überblick zum Thema IT-Sicherheit in der Urlaubszeit: Jährlich steht für viele der Urlaub an – und mit diesem auch wieder ein enormer Risikobereich: Heute möchte kaum jemand mehr in seinem Urlaub auf Mails, Internet und Handy verzichten. Viele wollen oder müssen auch zumindest teilweise erreichbar sein. Doch bieten sich hier auch grosse Risiken.
IT-Sicherheit im Urlaub – ein Thema für Verbraucher
Von gestohlenen Geräten – auf denen sich neben sensiblen privaten Informationen vielleicht auch noch geschäftliche Daten finden – bis hin zu Hack-Angriffen ist alles denkbar. Gerade letzteres ist im Urlaub ein vollkommen unterschätztes Problem: Viele nutzen blindlings frei zugängliche WLAN-Hotspots im Urlaub, um sich die Roaming-Gebühren zu sparen. Dabei wird aber nicht bedacht, dass man nicht weiss, wer da den Hotspot betreibt und dass der den gesamten Netzwerkverkehr problemlos „mithören“ kann.
Absolute Sicherheits-Basics im Urlaub
Man sollte zumindest auf ein paar Grundregeln achten: Geschäftsleute sollten im Urlaub bemüht sein, nur private Hardware mit privaten Daten zu nutzen, damit Angriffe und Diebstahl nicht aufs Unternehmen durchschlagen.
Des Weiteren sollten Sie endlich ihre Hardware komplett verschlüsseln, viele Betriebssysteme und mobilen Endgeräte bieten diese Option und sie muss nur aktiviert werden. Und wenn Sie schon keinen VPN-Tunnel einrichten können, achten Sie darauf, auf allen Endgeräten ausnahmslos eine verschlüsselte Verbindung zu ihren Mail-Accounts und Webseiten mit Login-Funktion herzustellen. Dies sollten Sie bereits vor Ihrem Urlaub testen, bei einer unverschlüsselten Verbindung übertragen Sie Ihre Login-Daten im Netzwerk im Klartext, mit jedem üblichen Sniffer-Tool, das nicht einmal technische Kenntnis benötigt, kann man hier diese Daten dann abfangen. Die meisten Provider unterstützen inzwsichen problemlos eine SSL-Verbindung zum Mailserver und vermeiden das Versenden des Passworts im Klartext, was etwa so aussehen kann (ich bevorzuge das CRAM-MD5-Verfahren):
Empfehlungen des BSI zur IT-Sicherheit im Urlaub
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet zu dem Thema inzwischen einige Hilfen, die zwar mitunter sehr einfach klingen und auf das Prinzip „Erst denken dann machen“ hinauslaufen, aber durchaus angebracht sind. Die leider sehr verteilten und nicht immer problemlos aufzufindenden Informationen des BSI versuche ich im Folgenden konzentriert zusammen zu fassen:
Vor der Reise
Bei der Buchung und Vorbereitung der Reise achten Sie insbesondere auf Folgendes:
- Die Buchung der Reise wird über offizielle und zertifizierte Kanäle erledigt, überlegen Sie vorher, wo Sie Ihre Zahlungsdaten eingeben
- Machen Sie Backups von allen Geräten
- Nehmen Sie nur die wirklich notwendigen Geräte mit, bei denen ein Zugriff ohne Zugriffskontrolle nicht möglich ist und die vollständig verschlüsselt sind
- Denken Sie an das digitale Zuhause: Schalten Sie den WLAN-Router im Zweifelsfall ab (oder klemmen gleich die ganze Telefonanlage ab um Angriffe zu erschweren) und deaktivieren Sie das „Smarthome“ so gut es möglich ist.
- Vielleicht in sozialen Netzwerken nicht der Weltöffentlichkeit mitteilen dass Sie weg sind und wie lange – Sie wissen nicht wer alles mitliest
- Halten Sie die Kostenfalle Handy im Blick: Ungewollte Datenverbindungen, Updates etc. – all das kann Kosten verursachen. Informieren Sie sich vorher bei Ihrem Provider ob Gefahren drohen, buchen Sie ggfs. Flatrates dazu.
IT-Sicherheit während der Reise
Das BSI stellt es sehr detailliert dar, ich möchte es hier verkürzen: Während der Reise ist für Sie vor allem die stattfindende Kommunikation ein Risiko. Über ein öffentlich zugängliches WLAN, dessen Anbieter Sie nicht kennen (oder gar über ein Internet-Cafe vor Ort) Online-Banking zu betreiben ist äusserst Risikoreich. Nicht einmal über eine Datenverbindung des Smartphones mit dem Provider, also ohne WLAN, gibt es Garantien, da hier relativ gut zu verwirklichende Angriffsszenarien existieren indem vor Ort eine lokale Funkzelle kopiert wird. Die Empfehlung des BSI auf bestimmte gefahrträchtige Kommunikation wie Online-Banking gänzlich zu verzichten ist aus meiner Sicht daher zu unterstreichen.
Jedenfalls bei sensibler Kommunikation achten Sie darauf, Links immer selber einzugeben (also nicht in irgendwelchen Nachrichten auf vermeintliche Links zu klicken) und dass die Seite mit einem „https“ beginnt. Geben Sie auf Webseiten die kein HTTPS anbieten auf keinen Fall Zahlungsdaten oder Login-Daten ein.
Hinweis: Bitte beachten Sie auch, dass Sie nicht arglos fremde Ladestationen verwenden, da diese für Hackangriffe verwendet werden können. Vertrauen Sie nur eigener Hardware, siehe auch hier von mir dazu.
Nach dem Urlaub
Wieder zu Hause wäre ein Rat, tatsächlich die Login-Daten für sensible Nutzungen wie Mails vollständig zu ändern um auf Nummer sicher zu gehen. Machen Sie wie vor dem Urlaub einen Update-Rundlauf und aktualisieren ihre Anwendungen. Seien Sie wachsam, bei seltsamen Meldungen sofort prüfen was dahinter stehen könnte.
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024